Ce n’est pas un secret : toutes les organisations recourent aux comptes à privilèges. Et pour cause : ce sont eux qui permettent de contrôler systèmes, ressources et applications !
Par conséquent, les auditeurs s’y intéressent tout particulièrement, et pour les mêmes raisons, les comptes à privilèges sont particulièrement ciblés lors des cyberattaques. Dans ce contexte, démontrer la conformité des droits d’accès des comptes à privilèges tout en leur assurant un niveau de sécurité optimal constitue une priorité pour les organisations.
Expert de l’Identity Analytics depuis près de dix ans, Brainwave GRC s’empare du sujet en mettant à jour les problématiques observées côté clients et en dégageant un certain nombre de bonnes pratiques à observer. Du recours à un système PAM à la mise en place d’une véritable gouvernance des comptes à privilèges, voyons ensemble comment répondre aux auditeurs tout en réduisant risques et menaces qui pèsent sur ces actifs sensibles !
Définition, caractéristiques et particularités : comment identifier les comptes à privilèges ?
Comment les différencier des comptes standards ?
Deux types de comptes sont généralement distingués au sein des organisations. Tout d’abord, les comptes standards, qui permettent d’octroyer aux collaborateurs des droits d’accès minimum, limités, suivant le principe de moindre privilège. Chaque collaborateur peut ainsi via ces comptes standards accéder aux systèmes et applications de l’organisation nécessaires à l’exercice strict de ses fonctions… Ni plus, ni moins. Ce principe de moindre privilège est censé être systématiquement appliqué. C’est une règle de base lorsqu’il s’agit de démontrer la conformité des droits d’accès octroyés, et cela permet également de limiter tout risque lié à ces derniers.
Par conséquent, il arrive que certaines actions ne soient pas réalisables via les droits d’accès standards dont disposent les collaborateurs. C’est notamment le cas lorsque l’on souhaite configurer un système ou une application, octroyer des droits d’accès à d’autres personnes de l’équipe, ou encore effectuer des paiements. Dès lors, les droits d’accès standards ne suffisent plus : il est nécessaire de détenir des droits d’accès à privilèges dédiés pour réaliser ces opérations considérées comme plus sensibles.
Comme nous avons pu l’observer en échangeant avec nos clients, il n’existe pour l’heure pas de définition stricte des comptes à privilèges, au sens où il n’existe pas un seuil de niveau d’accès au-delà duquel on considère que tout compte qui le franchit est un compte à privilèges. Chaque organisation établit ses critères pour déterminer si un compte est de nature standard ou à privilèges, selon son contexte et les cas d’usages qui lui sont propres. La seule caractéristique commune à tous les comptes à privilèges sur laquelle s’appuyer pour les repérer plus facilement est la suivante : tout compte détenant davantage de droits d’accès qu’un compte standard au sein d’une organisation peut être considéré comme un compte à privilèges.
Quels sont les différents types de comptes à privilèges existants ?
Nombreux sont ceux qui pensent que les comptes à privilèges se résument aux comptes administratifs présents dans l’organisation. En réalité, ils peuvent être de natures très diverses !
Deux grandes familles de comptes à privilèges peuvent être distinguées :
- Les comptes nominatifs tels que les comptes personnels et les comptes dits « super-utilisateurs » (super user accounts). Ils sont attribués à une identité détenant des droits d’accès privilégiés, à titre individuel.
- Les comptes non nominatifs tels que les comptes techniques par exemple. Ils peuvent être partagés par plusieurs identités distinctes. Les services et applications utilisés par les systèmes de l’organisation utilisés pour accéder à d’autres systèmes et applications en font notamment partie.
En local, dans le Cloud, au sein des infrastructures, des systèmes d’exploitation, des dispositifs réseau ou encore au cœur des applications et des serveurs… Les comptes à privilèges sont partout ! Ils peuvent être gérés localement ou de façon centrale, via l’utilisation de répertoires tels qu’Active Directory ou via un système PAM.
Sécurisation et détection des risques associés : une priorité absolue.
La sécurisation des comptes à privilèges est un enjeu majeur : Gartner et Forrester approuvent.
Nous en sommes convaincus : pour toute organisation, la sécurisation des comptes à privilèges est un enjeu fondamental. Et pour cause : ils permettent de donner accès à des fonctionnalités a priori inaccessibles via des comptes dits standards afin de pouvoir exécuter un certain nombre d’opérations dites sensibles. Tout utilisateur d’un compte à privilège est ainsi doté de super-pouvoirs : son champ d’action est élargi, il dispose d’un accès direct à certains actifs sensibles de l’organisation. Par conséquent, la sécurisation des comptes à privilèges est cruciale pour protéger les ressources, infrastructures et applications de toute organisation !
Manifestement, nous ne sommes pas seuls à défendre cette idée… En témoignent les avis émis par les analystes experts. Gartner l’affirme : il est primordial d’accorder toute notre attention aux comptes à privilèges. Ils doivent être considérés comme la priorité numéro un des organisations en matière de sécurité et de gestion des risques. Forrester se positionne également sur le sujet en indiquant que les comptes à privilèges constituent le plus haut niveau de menace au sein des organisations.
Quels sont les principaux risques identifiés ?
On l’a vu, les comptes à privilèges sont partout… Et ils sont également nombreux ! En moyenne, ils représentent trois fois le nombre de collaborateurs présents au sein d’une organisation… Et autant d’opportunités pour les hackers d’accéder aux ressources, infrastructures et données les plus sensibles. Au-delà des cyber-attaques, d’autres menaces internes à l’entreprise existent bel et bien.
On répertorie ainsi trois catégories de risques communément associés aux comptes à privilèges :
Le risque d’accident : via des droits d’accès légitimes, l’utilisateur – un collaborateur par exemple – commet une erreur. Il peut par exemple permettre à une tierce personne (collaborateur, sous-traitant) d’accéder à des informations critiques ou compromettre certaines données, les modifier ou les supprimer par inadvertance.
- Le risque de vol, d’intention frauduleuse : ici aussi, l’utilisateur dispose de droits d’accès légitimes qui lui ont été attribués pour les besoins de ses fonctions… Qu’il exploite à des fins frauduleuses. Par exemple, une personne ayant des responsabilités administratives au sein de l’organisation peut intentionnellement divulguer ses accès ou les détourner dans le but de voler des informations.
- La création d’une porte dérobée : chaque fois qu’un compte à privilèges est créé, une potentielle porte dérobée l’est aussi. Celle-ci peut être utilisée par des hackers pour voler de l’information ou attaquer directement les ressources, applications, systèmes et infrastructures de l’organisation. À noter : en moyenne, un hacker s’introduisant dans le système d’information d’une organisation via un compte à privilèges peut prendre le contrôle intégral de ce dernier en seulement deux semaines.
S’il apparaît ainsi crucial pour les organisations d’accorder une attention toute particulière aux comptes à privilèges, différentes stratégies peuvent être mises sur pied pour les sécuriser, les gérer, les monitorer, et les contrôler suivant :
- La nature des comptes à privilèges répertoriés.
- Le niveau de risque observé pour chacun d’entre eux.
Aussi, le recours à un système PAM et la mise en place d’une gouvernance des comptes à privilèges sont devenus des incontournables pour démontrer la conformité de ses droits d’accès et faire face aux menaces de cyberattaques.
